प्लेटफ़ॉर्म
javascript
घटक
1panel-dev/maxkb
में ठीक किया गया
2.4.1
2.4.2
2.5.0
CVE-2025-15632 describes a cross-site scripting (XSS) vulnerability discovered in 1Panel-dev MaxKB. This flaw allows attackers to inject malicious scripts into the application, potentially leading to session hijacking or defacement. The vulnerability affects versions 2.4.0 through 2.5.0 and has been publicly disclosed. A fix is available in version 2.5.0.
1Panel-dev MaxKB के संस्करण 2.4.2 और उससे पहले में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। यह भेद्यता ui/src/chat.ts फ़ाइल में MdPreview घटक के अज्ञात फ़ंक्शन को प्रभावित करती है। एक हमलावर इस भेद्यता का उपयोग वेबसाइट पर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने के लिए कर सकता है, जो उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होगी। यह हमलावर को संवेदनशील जानकारी, जैसे सत्र कुकीज़ चुराने या उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने की अनुमति दे सकता है। भेद्यता के शोषण के दूरस्थ होने और भेद्यता की जानकारी पहले से ही सार्वजनिक रूप से उजागर होने के कारण जोखिम बढ़ गया है, जिससे हमलों की संभावना बढ़ गई है।
यह भेद्यता chat.ts फ़ाइल में MdPreview घटक में स्थित है। एक हमलावर उपयोगकर्ता इनपुट सत्यापन या सफाई की कमी का फायदा उठाकर दुर्भावनापूर्ण JavaScript कोड इंजेक्ट कर सकता है। चूंकि भेद्यता का शोषण दूरस्थ रूप से किया जाता है, इसलिए हमलावर को भेद्यता का फायदा उठाने के लिए सर्वर तक भौतिक पहुंच की आवश्यकता नहीं होती है। भेद्यता का सार्वजनिक प्रकटीकरण का मतलब है कि हमलावरों के पास पहले से ही भेद्यता विकसित और तैनात करने के लिए आवश्यक जानकारी है। सर्वर लॉग की निगरानी संदिग्ध गतिविधि के लिए की जानी चाहिए।
Organizations using 1Panel-dev MaxKB in production environments, particularly those with publicly accessible chat functionality, are at risk. Shared hosting environments where multiple users share the same 1Panel-dev MaxKB instance are also at increased risk, as an attacker could potentially compromise other users through this vulnerability.
• javascript / web: Examine the ui/src/chat.ts file for improper input sanitization or output encoding. Look for instances where user-supplied data is directly inserted into the DOM without proper escaping.
• generic web: Monitor access logs for suspicious requests containing JavaScript payloads targeting the chat functionality.
• generic web: Use a browser developer console to test for XSS vulnerabilities by injecting simple payloads into the chat input field.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए अनुशंसित समाधान 1Panel-dev MaxKB को संस्करण 2.5.0 में अपडेट करना है। इस पैच में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन को रोकने के लिए आवश्यक फिक्स शामिल हैं। पैच पहचानकर्ता 7230daa5ec3e6574b6ede83dd48a4fbc0e70b8d8 है। संभावित XSS हमलों से अपने सिस्टम को बचाने के लिए जल्द से जल्द इस अपडेट को लागू करने की पुरजोर अनुशंसा की जाती है। इसके अतिरिक्त, अपने 1Panel सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित हो सके कि सामग्री सुरक्षा नीति (CSP) सही ढंग से लागू की गई है और अविश्वसनीय स्क्रिप्ट के निष्पादन को प्रतिबंधित किया गया है।
Actualice el componente MaxKB a la versión 2.5.0 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS). La actualización incluye una corrección para la función afectada en el archivo ui/src/chat.ts del componente MdPreview. Consulte la documentación de 1Panel-dev para obtener instrucciones de actualización específicas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेबसाइटों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। इन स्क्रिप्ट का उपयोग जानकारी चुराने, उपयोगकर्ताओं को पुनर्निर्देशित करने या अन्य दुर्भावनापूर्ण क्रियाएं करने के लिए किया जा सकता है।
यदि आप 1Panel-dev MaxKB के 2.5.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित होने की संभावना है। अपने स्थापित संस्करण की जांच करें और तुरंत अपडेट करें।
यदि आपको संदेह है कि आप हमला किए गए हैं, तो तुरंत सभी प्रभावित खातों के पासवर्ड बदलें, सर्वर लॉग की जांच संदिग्ध गतिविधि के लिए करें और मैलवेयर स्कैन करने पर विचार करें।
सॉफ्टवेयर को अपडेट करने के अलावा, अविश्वसनीय स्क्रिप्ट के निष्पादन को प्रतिबंधित करने के लिए सामग्री सुरक्षा नीति (CSP) लागू करें और XSS हमलों से खुद को बचाने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे सुरक्षा भेद्यता डेटाबेस में भेद्यता CVE-2025-15632 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।